Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。
Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。
評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。
ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。
Archive for the ‘Azure Arc’ Category
SQL Server on Azure Arc 対応サーバーを Azure Policy で導入する
SQL Server 2022 では、セットアップ時に SQL Server on Azure Arc 対応サーバーをインストールすることができるようになり、セットアップで Azure Arc ならびに SQL Server 向けの拡張機能をインストールした状態でオンボードすることが可能となりました。
SQL Server 2022 より前のバージョンの SQL Server についても Azure Arc に接続がされていれば、Azure Policy 経由で SQL Server on Azure Arc 対応サーバーを導入することができ、導入の自動化につなげることができますので、本投稿では Azure Policy を使用した Windows サーバーへの SQL Server on Azure Arc 対応サーバーの導入を実施してみたいと思います。
作業内容としては、Azure Policy を使用した大規模な接続 になります。
Azure Arc 対応サーバー (Windows) のゲスト構成機能のポリシー適用状況を確認するためのログ
Azure Arc 対応サーバーで Windows サーバーに対して ゲスト構成機能 (Azure ポリシー) の適用状況を確認する際のログについてまとめておきたいと思います。
技術情報としては次のドキュメントを確認するとよいかと思います。
- Azure Policy Guest Configuration – Client
- Understand the machine configuration feature of Azure Policy
ポリシーの適用については反映されるまで時間がかかりますが、反映のタイミングについては Validation frequency に記載されており、基本的な感覚は次のようになるようです。
- 5 分間隔: 新規または変更されたゲスト構成のチェック
- 15 分間隔: ゲスト構成の設定状況の確認
Azure Policy のゲスト構成機能の監査状況をポータルから確認する (Windows 環境)
Azure Policy では、ゲスト構成機能 (Guest Configuration: GC) により、環境内のマシンの状態を管理することができます。
ゲスト構成は、次のいずれかの環境に対して使用することができます。
- Azure 仮想マシン
- ゲスト構成拡張機能の概要 で記載されている拡張機能の導入ならびに、マネージド ID の有効化が必要
- Azure Arc エージェントが導入されていれば使用可能
Azure だけでなく、Azure Arc 対応サーバーをインストールしている環境についても Azure Policy のゲスト構成機能を活用することができます。(Azure の仮想マシンについては追加コストは発生しませんが、Azure Arc の環境については追加コストが発生します)
Azure Policy では組み込みポリシー定義が提供されており、Azure 仮想マシンならびに Azure Arc 向けのポリシーが提供されています。
- Compute (Azure 仮想マシン)
- Azure Arc 対応サーバーの Azure Policy 組み込み定義
これらのポリシーの中には、ゲスト構成機能を使用したルールも提供されており、本投稿はゲスト構成機能を使用したルールの監査状況の確認方法をポータルから実施する際の操作を調べたものとなります。
ゲスト構成機能については冒頭に紹介したドキュメントも含めた、次の内容を確認しておくとよさそうです。
Azure セキュリティ ベンチマークのイニシアティブ割り当て時に Windows Defender Exploit Guard のコンプライアンスの状態を準拠させる
Azure Arc 対応サーバー (Enabled Server) で Azure に認識させているサーバーについては、Azure Policy の管理対象とすることができます。
ポリシーの準拠状況は、Azure Arc のブレードの「ポリシー」や「マシン構成 (プレビュー)」から確認することができるのですが、Azure セキュリティベンチマークを割り当て対象としている場合、Windows の標準設定だと「マシン構成 (プレビュー)」の「WindowsDefenderExploitGuard」の構成が「準拠していない」状態となります。
この構成を準拠している状態に持っていくための設定をまとめておきたいと思います。
Azure Arc Enabled Server が有効な環境でマネージド ID で SQL Database にアクセスしてみる
Azure の管理 / 運用性を Azure 外で動作している環境にも提供することができる Azure Arc Enabled Server (Azure Arc 対応サーバー) ですが、導入した環境は、Azure Active Directory にマネージド ID が登録されるため、アクセストークンを使用して Azure 上の操作が可能となります。
次の画像は AAD で Azure Arc Enabled Server を有効にしているサーバー名を検索したものですが、マネージド ID が登録されていることが確認できますね。
詳細については次のドキュメントに記載されています。
Azure Arc Enabled Server を導入した環境では、Azure SQL Database へのアクセスにマネージド ID を使用することができるようになり、まだ試したことがかなかったので軽く試してみました。
Azure Arc Enabled VMware vSphere の技術情報について
先日、自宅に ESXi の環境を構築したついでに、Azure Arc Enabled VMware vSphere の情報も集めてみました。
構築も実施してみたのですが、展開時にエラーとなってしまい最後までは完了させることができなかったのですが、様々な情報が公開されていました。
Azure Arc Enabled VM は Preview の登録が必要だと思うのですが、VMware vSphere については、プレビュー登録の記載がなく、「Microsoft.ResourceConnector」「Microsoft.ConnectedVMwarevSphere」というようなリソースプロバイダーも登録スクリプトの中で有効化が行われているので、どこまで利用できるのかがよくわかりませんでした。
Azure Arc Enabled SQL Server の基本操作方法について
Azure Arc Enabled SQL Server (Azure Arc 対応サーバーでの SQL Server) の操作方法について、ドキュメントを見てもわかりづらいところがいくつかあったので、本投稿で操作方法をまとめておきたいと思います。
私の環境では、サブスクリプション単位で、Microsoft Defender for Cloud を有効にせず、Log Analytics ワークスペース単位で有効にしているということもあるので、その辺も操作の複雑性に起因しているかもしれません。
今回の環境は Windows 版の SQL Server を対象としています。
Azure Automation を Azure Arc の 拡張機能ベースの Hybrid Runbook Worker で実行する際の注意点 (2021/11 時点の暫定対応)
Azure Automation の Runbook を任意の環境上で動作させる方法として、Hybrid Runbook Worker があります。
Hybrid Runbook Worker を使用することで、任意の環境上で Automation の Runbook を実行することができるようになりますので、オンプレミスの環境や Azure VM 上で Runbook を実行するということが可能となります。
Hybrid Runbook Worker の導入方法としては、エージェントベースワーカー (v1) と拡張機能ベースワーカー (v2) の 2 種類があります。
- Automation でエージェントベースの Windows Hybrid Runbook Worker をデプロイする
- 拡張機能ベースの Windows または Linux ユーザー Hybrid Runbook Worker を Automation にデプロイする (プレビュー)
エージェントベースについては、Log Analytics ワークスペースへの接続が必要でした。
拡張機能ベースについては、Log Analytics ワークスペースに接続はする必要はなく、オンプレミスの環境であれば、Azure Arc Enabled Server の拡張機能としてインストールをすることができます。(Azure VM の場合は、Arc ではなく、Azure VM エージェントの拡張機能としてインストールできます)
Azure Arc が導入されている環境を Hybrid Runbook Worker でしようとした場合、現時点ではエラーとなるケースがあるようです。
原因都回避策については、次の Q&A で解説が行われており、現時点では既知の問題となるようです。
追記
2022/1/25 時点では、問題が解決され、Automation アカウントのマネージド ID が有効な状態でも、Runbook が実行できるようになりました。
Ignite 2021 / PASS Data Community Summit 2021 で発表された SQL Server ベースの環境のアップデート
2021/11/3~4 に開催されていて Ignite 2021、2021/11/10~12 で開催されていた PASS Data Community Summit 2021 で SQL Server ベースのアップデートが多数発表されました。
これらのイベントで発表されたアップデートについて一通り確認ができ、次の投稿に情報を反映しました。
- 11/03 : Ignite 2021 で SQL Server 2022 がアナウンスされました
- 11/03 : Ignite 2021 で発表のあった SQL Server / SQL Database 関連のアップデート
- 11/08 : Ignite 2021 で Azure Arc Enabled Data Service のアップデートが発表されています
- 11/11 : PASS Data Community SUMMIT 2021 で SQL Server 2022 関連の情報の公開が行われています
各投稿の目次が次になりますが、大小合わせると様々なアップデートがのアナウンスが行われていますね。